«Захист інформації в автоматизованих системах»
|
|
Скачати 92.33 Kb.
|
|
Державний університет інформаційно-комунікаційних технологій Навчально-науковий інститут захисту інформації Кафедра безпеки інформаційних технологій Правове забезпечення інформаційної безпеки РЕФЕРАТ на тему «Захист інформації в автоматизованих системах» Виконала: студентка групи БСД – 41Прізвище І.Б. Микитюк Іванна Анатоліївна Дата здачі/захисту ____________ Оцінка ___________________ 2012 Зміст Вступ
3. Визначення елементів СУІБ 3.1. Перелік досліджуваних документів. 3.2. Визначення напрямів, об'єктів, активів. 3.3. Визначення загроз. 3.4. Аналіз ризиків. 3.5. Визначення вимог. 3.6. Визначення співробітників. 3.7. Визначення засобів та заходів. 4. Висновки. Вступ Система інформаційної безпеки спрямована на запобігання втраті інформації, її спотворенню, несанкціонованому доступу та незаконному її використанню на етапах проектування, впровадження та експлуатації інформаційних підсистем. В експлуатаційному режимі програмно-технічні комплекси повинні забезпечити ефективне і надійне функціонування інформаційних підсистем та захист від несанкціонованого доступу (НСД). Основною метою системи захисту інформації є: – фізичне збереження технічних і програмних засобів від викрадення та пошкодження; – надання користувачам права доступу до ресурсів підсистеми згідно з прийнятою стратегією безпеки; – забезпечення входу до комп’ютерної підсистеми за умови пред’явлення електронного ідентифікатора або вводу особистого паролю; – реєстрація дій користувачів щодо ресурсів підсистеми; – забезпечення цілісності інформаційних ресурсів (у тому числі – забезпечення антивірусного захисту); – облік носіїв інформації; – сигналізація про порушення захисту; – забезпечення цілісності програмних засобів та інформації, що обробляється. Підсистема контролю доступу і захисту інформації повинна реалізовувати основні методи захисту інформаційних ресурсів від несанкціонованого доступу, а також забезпечувати нейтралізацію випадкових і цілеспрямованих потенційних загроз, таких, що дають змогу порушнику: – одержувати доступ до даних з порушенням встановлених правил розмежування доступу з метою ознайомлення, модифікації, копіювання, знищення даних і т. ін.; – зчитувати дані із запам’ятовуючих пристроїв після виконання санкціонованих запитів; – копіювати носії інформації; – маскуватися під зареєстрованого користувача, видавати власні несанкціоновані запити за запити операційної системи; – отримувати захищені дані за допомогою спеціально організованої серії санкціонованих запитів; – модифікувати програмне забезпечення, навмисно включаючи до його складу спеціальні блоки для порушення безпеки даних; – фальсифікувати факти формування, видачі та отримання даних; – підтверджувати отримання від користувача даних, сформованих самим порушником, передачу користувачеві даних, що не передавалися; – вивчати права доступу інших користувачів; – незаконно розширювати свої права та змінювати повноваження інших користувачів. При захисті комп’ютерних систем від несанкціонованого доступу треба враховувати специфіку їх використання. Як правило, окремим комп’ютером користується обмежена кількість користувачів. ПК можуть функціонувати як в автономному режимі, так і у складі локальних мереж, підключатися до глобальної мережі Internet і т. ін.
Проаналізувати нормативні документи в сфері захисту інформації в автоматизованих системах від несанкціонованого доступу використовуючи систему управління інформаційною безпекою «Матриця».
У цьому рефераті я використовувала такі позначення і скорочення: АС — автоматизована система; ЕОМ — електронно-обчислювальна машина; КС — комп'ютерна система; КСЗ — комплексна система захисту; НД — нормативний документ; НСД — несанкціонований доступ; ПЗ — програмне забезпечення; БІ — безпека інформації; ПЗІ — програмний захист інформації; ТЗІ — технічний захист інформації; АПЗ — антивірусний програмний засіб
3.1. Перелік досліджуваних документів Для аналізу я використовувала такі нормативні документи, як: 1) НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу». Цей нормативний документ технічного захисту інформації (НД ТЗІ) визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, регламентуючих питання: - визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу; - створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу; - оцінки захищеності комп'ютерних систем і їх придатностi для вирішення завдань споживача. 2) НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в автоматизованій системі». Цей нормативний документ системи технічного захисту інформації (НД ТЗІ) встановлює вимоги до структури та змісту нормативного документу, що регламентує діяльність служби захисту інформації в автоматизованій системі - “Положення про службу захисту інформації в автоматизованій системі”. 3) ДСТУ 3396.1-96 «Захист інформації. Технічний захист інформації. Порядок проведення робіт». Цей стандарт установлює вимоги до порядку проведення робіт з технічного захисту інформації (ТЗІ).4) НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі». Цей документ визначає основи організації та порядок виконання робіт із захисту інформації в інформаційно-телекомунікаційних системах (далі - ІТС) - порядок прийняття рішень щодо складу комплексної системи захисту інформації в залежності від умов функціонування ІТС і видів оброблюваної інформації, визначення обсягу і змісту робіт, етапності робіт, основних завдань та порядку виконання робіт кожного етапу. 3.2. Визначення напрямів, об'єктів, активів З точки зору методологiї в проблемі захисту інформації від НСД слід виділити три напрями:  ТЗІ в АС — це захист АС і оброблюваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнiтних випромінювань і наводів). ПЗІ спрямований на захист АС на програмному рівні. Кінцевою метою всіх заходів щодо захисту інформації, які реалізуються, є забезпечення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних етапах обробки інформації і в усіх режимах функціонування. Об’єкт – це певний функціональний елемент у АС, який приймає участь у захисті інформації.  Об’єкти складаються з активів. Актив – це матеріальний або не матеріальний об’єкт, який являється інформацією, або містить в собі інформацію, а також має цінність для організації. Кожен актив має свій збиток (шкала оцінення від 1 до 5: 1 - незначний збиток, 5 - дуже сильний збиток).  3.3. Визначення загроз Загроза — це потенційно можливі події, дії або процеси, які через вплив на інформацію можуть стати причиною порушення політики безпеки інформації і нанесення збитків автоматизованій системі (видалення, зміна або доступність інформації). Загрози оброблюваної в АС інформації залежать від характеристик ОС, фізичного середовища, персоналу і оброблюваної інформації. Загрози можуть мати або об'єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т. і.) чи відмова елементів ОС, або суб'єктивну, наприклад, помилки персоналу чи дії зловмисника. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними.  У СУІБ Матриця кожна загроза має свою частоту ймовірності появи. Оцінюємо за шкалою від 1 до 5: 1- низька ймовірність появи, 5 – висока ймовірність появи.
Ризик — функція ймовірності реалізації певної загрози, виду та розміру завданих збитків. У СУІБ Матриця ризики описуються як добуток ймовірності реалізації загрози на збиток заданого активу від реалізації цієї загрози. Із списку загроз вибирається конкретна загроза для конкретного активу і за допомогою формули оцінюється ризик.   3.4. Аналіз ризиків Аналіз ризиків передбачає вивчення моделі загроз для інформації та моделі порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди) і формування на його підставі моделі захисту інформації в АС.   Найбільший ризик представляють: відмова автоматизованої системи, несанкціонований доступ, порушення цілісності, доступності інформації.
У цьому розділі я визначила вимоги, що забезпечують безпеку і визначають можливості засобів захисту.  3.6. Визначення співробітників До структури співробітників служби захисту інформації можуть входити: 
Заходи забезпечення безпеки – послуги, функції, механізми, правила та процедури, призначені для захисту інформації. При управління захистом АС для вирішення необхідних задач впроваджують наступні заходи:  Засоби захисту – це програмні, програмно-апаратні та апаратні засоби, що реалізують механізми захисту.  Висновки На підставі дослідження нормативних документів я провела аналіз ризиків і зробила такі висновки: Система інформаційної безпеки спрямована на запобігання втраті інформації, її спотворенню, несанкціонованому доступу та незаконному її використанню на етапах проектування, впровадження та експлуатації інформаційних підсистем. В експлуатаційному режимі програмно-технічні комплекси повинні забезпечити ефективне і надійне функціонування інформаційних підсистем та захист від несанкціонованого доступу (НСД). Для захисту ПК від несанкціонованого доступу використовуються різноманітні програмні засоби, серед яких найбільше розповсюдження отримали: – засоби захисту обчислювальних ресурсів (використовують парольну ідентифікацію); – застосування різноманітних методів шифрування інформації; – засоби захисту від копіювання комерційних програм; – захист від комп’ютерних вірусів та ін. Забезпечення інформаційної безпеки починається з розробки політики безпеки інформації, яка регламентує права кожного користувача і груп користувачів, час та повноваження доступу, перелік загальних ресурсів, сценарії входу в мережу, правила роботи з глобальною мережею Internet тощо. |
Схожі:
| Реферат №1 (04-12) Студентка УБД-21 Остапенко Н. Предмет: Інформаційна... Мета реферату: використання СУІБ «Матриця» для проведення аналізу змісту Закону України «Про захист інформації в автоматизованих... |
Вимоги із захисту конфіденційної інформації від несанкціонованого... Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в |
| Тема. Апаратні засоби захисту інформації в комп’ютерних системах Формування знань класифікації, призначення, особливостей застосування апаратних засобів захисту інформації в комп’ютерних системах.... |
35. Вступ. Інформація та інформаційні процеси (2 год.) Носії інформації, форми і способи подання інформації. Види інформації. Інформація і шум та їх взаємоперетворення. Властивості інформації.... |
| Календарно-тематичні плани календарно-тематичні плани Носії інформації, форми і способи подання інформації. Види інформації. Інформація і шум та їх взаємоперетворення. Властивості інформації.... |
Захист інформації в комп ... |
| Закон України «Про захист прав споживачів» Тема: Джерела споживчої інформації. Способи доведення інформації до відома споживача. Як написати лист – скаргу про недоброякісний... |
Поширення конфіденційної інформації про особу Конфіденційна інформація про особу має захист як один із видів інформації з обмеженим доступом |
| ПОЛОЖЕННЯ про відділ автоматизованих систем управління Тернопільської міської ради Відділ автоматизованих систем управління (надалі відділ) є підрозділом міської ради, який утворюється для забезпечення найбільш ефективного... |
ГРОМАДСЬКІ Й НЕУРЯДОВІ ОРГАНІЗАЦІЇ З ІНФОРМАЦІЇ ТА КОМУНІКАЦІЇ ЗМІ, захист професійної діяльності журналістів, права на доступ до інформації за європейськими стандартами, права на розвиток суспільного... |
При копіюванні матеріалу обов'язкове зазначення активного посилання © 2013
звернутися до адміністрації
bibl.com.ua
звернутися до адміністрації
bibl.com.ua